概觀
將資料存放在 Amazon S3,以 S3 封鎖公開存取避免未經授權的存取。Amazon S3 是唯一允許您在目前和將來使用 S3 封鎖公開存取針對儲存貯體或帳戶層級中所有物件封鎖公開存取的物件儲存服務。
為確保您所有 S3 儲存貯體和物件的公開存取皆已封鎖,請開啟封鎖所有公開存取。只需在 S3 管理主控台按幾下滑鼠,即可將 S3 封鎖公開存取套用於帳戶中的每個儲存貯體 – 包括現有的儲存貯體以及未來建立的任何新儲存貯體 – 並確保任何物件都不會被公開存取。 依據預設,會針對所有新儲存貯體啟用「S3 封鎖公開存取」
S3 封鎖公開存取
S3 封鎖公開存取提供對整個 AWS 帳戶或針對個別 S3 儲存貯體層級的控制,可確保物件現在和未來永遠不會開放公開存取。
儲存貯體和物件的公開存取需透過存取控制清單 (ACL) 或儲存貯體政策,或同時透過兩者授予。為確保您所有 S3 儲存貯體和物件的公開存取皆已封鎖,請在帳戶層級開啟封鎖所有公開存取。這些設定會套用到整個帳戶目前和未來的所有儲存貯體。
AWS 建議開啟封鎖所有公開存取,但在套用任何這些設定之前,請先確定您的應用程式能在沒有公開存取下正常運作。如果儲存貯體或物件需要特定層級的公開存取,您可根據特定儲存使用案例自訂以下各設定。
所有新的儲存貯體預設都會啟用「封鎖公開存取」。若要限制對帳戶中所有現有儲存貯體的存取,您可以在帳戶層級啟用「封鎖公開存取」。S3 封鎖公開存取設定會覆寫允許公開存取的 S3 許可,讓帳戶管理員可以輕鬆設定集中控制,以避免不同的安全組態,無論物件的新增方式或儲存貯體的建立方式為何。
如果在啟用 S3 封鎖公開存取時將物件寫入至 AWS 帳戶或 S3 儲存貯體,且該物件透過 ACL 或政策指定任何類型的公開許可,這些政策許可將遭封鎖。
除了 S3 主控台,您也可透過 AWS CLI、SDK 或 REST API 啟用 S3 封鎖公開存取。任一選項的詳細說明皆可在 S3 封鎖公開存取文件中找到。請謹記,您可隨時進入 S3 主控台 (此處會標記內含永久公開許可之物件的儲存貯體) 查看公開儲存貯體,也可用 AWS Trusted Advisor 的 S3 儲存貯體許可檢查,在有任何儲存貯體可用時免費通知您。
參加 15 分鐘的 Amazon S3 封鎖公開存取線上培訓課程,了解如何封鎖 S3 帳戶或儲存貯體的公開存取。
運作方式
